Metody omijania korporacyjnych filtrów sieciowych Jacek Michałek AVET Information and Network Security Sp. z o.o. jacek.michalek@avet.com.pl 1 InfoTRAMS Prywatność
Plan Po co filtrować ruch sieciowy? Jakie techniki stosuje się do obchodzenia filtrów? Jak moŝna się zabezpieczać? Jak wykrywać? Pytania 2 InfoTRAMS Prywatność
Po co filtrować ruch sieciowy? Ochrona własności intelektualnej, tajemnicy handlowej, danych osobowych Kontrola jakości pracy Monitorowanie zgodności z normami i prawem (strony o wątpliwej treści, piractwo...) Wykrywanie i zapobieganie atakom Cenzura 3 InfoTRAMS Prywatność
Pole bitwy 4 InfoTRAMS Prywatność
Jakie techniki stosuje się do obchodzenia filtrów? Steganografia - hiding stuff in stuff so others don't find your stuff NieuŜywane lub teoretycznie losowe pola protokołów IP ID 1/2B TTL 1b Flaga DF 1b TCP ACK, URG 4B Timestamp 1b/SYN->SYN/ACK ISN 4B (NUSHU kontrola transmisji, korekta błędów) IP(ID),TCP(ISN) - Whitenoise (duplex, kontrola transmisji i błędów) VoIP SID/SDP 2000b/połączenie Padding (w 802.11 nawet 1.1Mbit/s) ICMP, IGMP sztuczny ruch DNS HTTP... 5 InfoTRAMS Prywatność
Jakie techniki stosuje się do obchodzenia filtrów? Steganografia Obrazy StegoShare kamera CIA audio MP3stego Collage 6 InfoTRAMS Prywatność
Jakie techniki stosuje się do obchodzenia filtrów? Side channel Funkcjonalności protokołów Fragmentacja(np. n%2?0:1), kolejność pakietów IP Retransmisja TCP RSTEG (dane w retransmitowanym pakiecie) Timingi IP - 16 bit/s Port-knocking 7 InfoTRAMS Prywatność
Jakie techniki stosuje się do obchodzenia filtrów? Proxy, dark/opennet Mix-networks Tor (Internet+ prywatna sieć) Freenet (prywatna sieć) I2p(preferowana prywatna sieć) Tunel SSH (uwaga z providerami cloud computing) Np własna maszyna na Amazonie jako proxy Bridge dla połączeń przez Tor Psiphon(zaufane proxy) 8 InfoTRAMS Prywatność
Jakie techniki stosuje się do obchodzenia filtrów? Własne kanały uŝytkownika Wifi Eksperymentalnie nawet 420 km Zewnętrzna antena kierunkowa Bluetooth bluesnarfing, bluesniping Inne technologie (np: mikrofalowe) Telefony komórkowe Pamięć zewnętrzna Screenshot 9 InfoTRAMS Prywatność
Jak moŝna się zabezpieczyć? NIE DA SIĘ W CAŁOŚCI!!! 10 InfoTRAMS Prywatność
Jak moŝna się zabezpieczać? Obszary Ludzie Polityka bezpieczeństwa zasadna i skomunikowana z pracownikami Co naleŝy chronić i za jaką cenę (wartość informacji vs koszt ich pozyskania) HR Jeśli firma będzie więzieniem, to pracownicy zaczną zachowywać się jak przestępcy (najczęściej najpierw odejdą) Sprzęt Blokowanie Konfiguracji komputera (BIOS, uruchamianie systemu) Prywatny sprzęt telefony komórkowych Wykorzystania pamięci zewnętrznych (nośniki USB i płyty Lady GaGa) Oprogramowanie Ograniczenie praw uŝytkownika w systemie Narzędzia DLP oraz IPS Skanowanie i ochrona antywirusowa 11 InfoTRAMS Prywatność
Jak moŝna się zabezpieczać? Monitorowanie ruchu sieciowego Filtrowanie, modyfikowanie podejrzanego ruchu (aktywny straŝnik) A co właściwie jest w LANie i na serwerach? Normalizacja ruchu sieciowego (TCP/IP,...), chemioterapia Opracowanie charakterystyki ruchu sieciowego w organizacji jak wygląda ruch sieciowy (protokoły kom., odwiedzane adresy, wolumin danych, czas trwania) Dla serwerów Dla stanowisk Dla konkretnych ludzi Domyślna polityka: wszystko co nie jest dozwolone jest zabronione Co nie spełnia wymagań RFC jest odrzucane lub normalizowane Wykrywanie anomali w ruchu (pasywny straŝnik) Regularne zarządzanie regułami zapór sieciowych, IPS i IDS Nacisk na szybkie reagowanie na problemy 12 InfoTRAMS Prywatność
Jak moŝna się zabezpieczać? Detekcja anomalii czego szukać Po co zwykłemu uŝytkownikowi tunel SSL do zewnętrznej adresacji? Czy nasza sieć naprawdę generuje tyle ruchu ICMP? Czy ruch ICMP musi być dostępny w kaŝdym segmencie? Dlaczego programista wysyła tyle obrazków za pomocą poczty elektronicznej? Kto w pracy korzysta z darmowych kont pocztowych? Jak często uŝytkownicy logują się na nie przez WWW? Wiele innych 13 InfoTRAMS Prywatność
Co z pewnością nie działa Skomplikowane polityki bezpieczeństwa Systemy DLP wdroŝone w oderwaniu od reszty zabezpieczeń Brak okresowych przeglądów White i black listy dla aplikacji Brak efektywnego procesu zarządzania incydentami Wiele innych 14 InfoTRAMS Prywatność
Co z pewnością działa ZDROWY ROZSĄDEK I KONTROLA 15 InfoTRAMS Prywatność
Jak zachęcić uŝytkowników do oszukiwania systemu? Bezsensowna polityka bezpieczeństwa (w tym ślepe/głupie oddanie zgodności z regulacjami) Ograniczanie dostępu w imię bezpieczeństwa (nieuzasadnione lub niewyjaśnione) Nielogiczne, niezrozumiane, niewyjaśniane zasady bezpieczeństwa Niekonsekwencja w egzekwowaniu zasad bezpieczeństwa 16 InfoTRAMS Prywatność
Pytania 17 InfoTRAMS Prywatność